AppSec/DevSecOps инженер

Обязанности: Разрабатывать и поддерживать в актуальном состоянии требования по безопасности для приложений, инфраструктуры и процессов разработки. Участвовать в проектировании безопасной архитектуры приложений и сервисов. Проводить анализ угроз (Threat Modeling), проверять архитектуру на ранних этапах, предлагать защитные меры. Внедрять подход «безопасность как код». Инфраструктура как код (Terraform, Ansible, OpenTofu) с автоматической проверкой безопасности, политики безопасности как код (Open Policy Agent, Conftest и аналоги), безопасное хранение и автоматическая ротация секретов, паролей, сертификатов (HashiCorp Vault и аналоги), защита репозиториев и процессов доставки кода (GitOps, подпись коммитов, контроль доступа). Автоматизировать безопасность в CI/CD пайплайнах. SAST, SCA, DAST / IAST, сканирование контейнеров и образов, проверка конфигураций инфраструктуры. Настраивать и поддерживать централизованные дашборды безопасности и автоматические отчёты. Ежемесячно предоставлять в службу информационной безопасности объективные метрики по безопасности разработки и эксплуатации (среднее время устранения уязвимостей, количество критических уязвимостей, процент покрытия проверками и т.д.). Проводить ручные проверки и тестирование на проникновение веб-приложений, API и административных панелей (Битрикс, Node.js/React и др.). Выявлять типовые уязвимости (OWASP Top-10 и др.), помогать разработчикам и devops инженерам их устранять. Участвовать в код-ревью, проводить парное программирование, консультировать. Участвовать в расследовании инцидентов, связанных с приложениями, цепочками поставки или конвейерами разработки. Разрабатывать и поддерживать сценарии автоматического реагирования на типовые инциденты (ansible плейбуки, скрипты). Обучать разработчиков безопасной разработке. Проводить внутренние лекции и митапы, готовить инструкции и рекомендации под используемые технологии компании. Выступать экспертом по безопасности внутри команд разработки и devops. Отвечать на вопросы, помогать ежедневно, участвовать в планировании спринтов. Вести техническую и регламентную документацию по своим направлениям, поддерживать в актуальном состоянии базу знаний компании по безопасности приложений и процессов DevSecOps. Следить за новыми уязвимостями и угрозами, которые затрагивают используемый технологический стек, оперативно инициировать и контролировать их устранение. Требования: Опыт работы в качестве AppSec/DevSecOps инженера от 3 лет Опыт работы в команде по поддержке от 100 серверов Знание языков программирования (PHP, Python) и фреймворков (Laravel); Уверенные знания Linux (администрирование, shell scripting); Опыт работы с инструментами безопасной разработки (SAST, DAST, SCA, ASOC, CA), опыт внедрения и администрирования инструментального стека; Знание работы веб-серверов (Nginx, Apache). Опыт построения PipeLine для разработки ПО; Знание распространенных угроз и атак; Опыт использования инструментов: Metasploit, Nessus, Wireshark. Знание и понимание стека протокола TCP/IP (Основные: HTTP(s), LDAP(s), SSH, RDP, SMTP, SFTP и т.п); Навыки моделирования угроз; Опыт работы с CI/CD (GitLab CI, Jenkins, и др.); Понимание процессов DevOps и Secure SDLC; Знание Docker, Kubernetes, Ansible; Знание принципов сетевой безопасности и управления доступом; Понимание принципов SBOM и управления зависимостями Навыки поиска архитектурных ошибок и уязвимостей в бизнес-логике; Опыт работы с системами тикетов (Jira, Интрасервис); Понимание принципов STLC; Знание протоколов MQTT, CoAP; Опыт работы с песочницами; Навыки разработки, анализа чужого кода и проведения security code review; Опыт разработки проектной документации; Опыт внедрения или сопровождения РБПО; Понимание требований ГОСТ 56939-2024. Условия: г.Москва Зорге, 1, стр.1 (гибридный график) или удаленная работа большая стабильная компания с разветвленной инфраструктурой • дружный коллектив • большое поле для развития и самореализации • работа в стабильной компании с ясным будущим • обучение и профессиональное развитие, внутренние и внешние курсы и тренинги • публичная оценка выдающихся результатов и призы для победителей на корпоративной Премии «Признание» • справедливое вознаграждение и премирование по системе KPI • планирование карьеры в Издательской группе • социальный пакет: бесплатный тренажёрный зал, скидки на книги, ДМС после 6 месяцев работы